Il existe deux problèmes qu’on rencontre pour la plupart des déploiements. Ils sont issus du fonctionnement même de la PKI et des relations de confiance qui lient un utilisateur ou une application à l’autorité de certification.
Tant qu’un message signé ou chiffré reste à l’intérieur de l’entreprise, on
Problématiques récurrentes
est sûr que tout le monde fait confiance à l’autorité et que les certificats de tous les utilisateurs sont bien connus. Mais qu’en est-il en dehors de l’entreprise ?
Signature d’un message Dans la mesure où votre propre clé privée est utilisée, il est toujours possible de signer un message, qu’il soit destiné à l’intérieur ou à l’extérieur de l’entreprise.
En revanche, la signature du message ne pourra être vérifiée que par les personnes faisant confiance à l’autorité ayant délivré notre certificat. Autrement dit, personne en dehors de l’entreprise.
Il existe quatre possibilités pour résoudre ce problème :
• Se procurer des certificats auprès d’une autorité publique à qui tout le monde fait confiance (Thawtes, Verisign ou un courtier comme TBS-Internet). C’est bien évidement la solution qui sera privilégiée.
• Ne pas envoyer de messages signés en dehors du périmètre de l’entreprise.
• Si on souhaite échanger des messages signés uniquement avec un nombre restreint de partenaires, il est possible de mettre en place des relations de confiance inter-entreprise (attention : aucun lien avec une relation d’approbation AD)
• Dernières possibilités mais qui n’est que très rarement envisageable : devenir sa propre autorité de certification publique. Il faut pour cela être certifié « web-trust ». Le ticket d’entrée s’élevant à quelques centaines de milliers de dollars, il n’y a guère que de très grosses structures pour se le permettre.
Chiffrement d’un message La problématique est sensiblement différente dans le cas de l’encryption puisque la difficulté se trouve dans la connaissance du certificat du destinataire. Dans une entreprise, avec une autorité intégrée à l’Active Directory, tout le monde connaît le certificat de tout le monde.
Mais il n’existe pas d’annuaire global pour toutes les entreprises.
Il est possible de régler ce problème soit au niveau utilisateur émetteur, soit au niveau de l’organisation de l’émetteur. Dans les deux cas, il s’agit de créer un contact (dans le carnet d’adresse de l’émetteur ou dans l’Active Directory de l’organisation de l’émetteur) et de lier le certificat du destinataire à ce contact.
Il faut donc mettre en place une solution d’automatisation de ces processus de synchronisation. Cette solution pourra par exemple se baser sur Microsoft Identity Integration Feature Pack ou Microsoft Identity Integration Server.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
